DatacenterLab

Die 3-2-1-1-0-Backup-Regel erklärt — und warum die „0″ alles verändert

Die 3-2-1-1-0-Backup-Regel erklärt — und warum die „0″ alles verändert

Wer in der IT arbeitet, kennt die klassische 3-2-1-Backup-Regel seit Jahren. Sie ist einfach, einprägsam und war lange Zeit der Goldstandard für Datensicherung. Doch die Bedrohungslandschaft hat sich fundamental verändert — Ransomware, die gezielt Backups angreift, macht die alte Regel allein nicht mehr ausreichend.

Die Antwort der Branche: die 3-2-1-1-0-Backup-Regel. Zwei neue Ziffern, die in der Praxis den Unterschied zwischen totalem Datenverlust und einer sauberen Wiederherstellung ausmachen können.

In diesem Artikel erklären wir, was hinter jeder einzelnen Ziffer steckt, wo die alte 3-2-1-Regel ihre Schwächen hat — und wie du die modernisierte Strategie konkret umsetzt.

Was war nochmal die klassische 3-2-1-Regel?

Die 3-2-1-Regel wurde ursprünglich vom Fotografen Peter Krogh geprägt und später von der US-CERT als Best Practice übernommen. Sie besagt:

  • 3 Kopien deiner Daten
  • auf 2 unterschiedlichen Speichermedien
  • davon 1 Kopie an einem externen Standort (Offsite)

Das funktionierte gut, als Ransomware noch kein Massenphänomen war und Backup-Kopien selbst nicht aktiv angegriffen wurden. Heute sieht die Realität anders aus: Moderne Ransomware-Varianten suchen gezielt nach erreichbaren Backup-Repositories und verschlüsseln diese gleich mit. Wer ausschließlich online verbundene Backups hat, verliert im schlimmsten Fall alle Kopien auf einmal — inklusive der Sicherungen.

Die modernisierte Regel: 3-2-1-1-0

Die erweiterte Regel fügt zwei entscheidende Komponenten hinzu:

3 — Drei Kopien deiner Daten

Mindestens drei vollständige Kopien: die Produktionsdaten plus zwei unabhängige Backups. Wichtig: Die Originaldaten zählen dabei als eine Kopie, die beiden Backups als die anderen zwei. Fällt eine Kopie aus — durch Hardwaredefekt, menschlichen Fehler oder Angriff — hast du immer noch zwei weitere.

2 — Zwei unterschiedliche Speichermedien

Nicht alle Eier in einen Korb. Typische Kombinationen heute:

  • Lokales NAS + Cloud-Backup
  • Festplatte (HDD/SSD) + Tape
  • Backup-Appliance lokal + S3-kompatibler Object Storage

Unterschiedliche Medientypen schützen vor medienspezifischen Ausfällen — ein Firmware-Bug, der alle Festplatten eines Herstellers betrifft, lässt Tapes oder Cloud-Objekte unberührt.

1 — Eine Kopie außerhalb des Standorts (Offsite)

Mindestens ein Backup muss physisch an einem anderen Ort liegen — weg vom primären Rechenzentrum oder Serverraum. Optionen:

  • Cloud-Backup (z. B. S3-kompatibler Object Storage, Azure Blob, etc.)
  • Zweiter Standort / Colocation
  • Physisches Band, das regelmäßig ausgelagert wird

Wichtig: Offsite ist nicht dasselbe wie Offline. Ein Cloud-Backup, das dauerhaft per API erreichbar ist, kann von Ransomware ebenfalls angegriffen werden — wenn die Zugangsdaten kompromittiert sind.

1 — Eine Offline- oder unveränderliche Kopie ← Das ist neu

Hier wird es entscheidend. Mindestens eine Backup-Kopie muss entweder:

  • Air-Gapped sein: physisch vom Netzwerk getrennt — kein aktiver Netzwerkzugang möglich (z. B. ausgelagertes Tape, externer Datenträger ohne Netzverbindung)
  • Immutable (unveränderlich) sein: technisch gegen Veränderung oder Löschung gesperrt für einen definierten Zeitraum

Immutable Backups sind heute in vielen modernen Backup-Lösungen und Cloud-Speicherdiensten verfügbar. Das Stichwort lautet Object Lock — ein Standard, der von S3-kompatiblen Diensten weit verbreitet unterstützt wird. Damit lassen sich Backup-Daten für einen festgelegten Zeitraum schreibschützen, selbst wenn die Zugangsdaten kompromittiert werden.

Warum ist das so wichtig? Ransomware kann nur Daten verschlüsseln oder löschen, auf die sie aktiv zugreifen kann. Ein Backup, das technisch oder physisch unerreichbar ist, bleibt sauber — egal was im Netzwerk passiert.

0 — Null Fehler bei der Wiederherstellung ← Das ist der Game-Changer

Die „0″ ist keine technische Komponente — sie ist eine Philosophie und eine Anforderung: Kein Backup darf ungetestet bleiben. Null tolerierte Wiederherstellungsfehler.

Ein Backup, das noch nie getestet wurde, ist kein Backup — es ist eine Hoffnung.

Was das konkret bedeutet:

  • Regelmäßige Restore-Tests — idealerweise automatisiert, mindestens quartalsweise manuell
  • Backup-Monitoring — fehlgeschlagene Jobs müssen sofort auffallen
  • Integritätsverifikation — Checksummen und Konsistenzprüfungen nach jedem Backup-Lauf
  • Recovery-Zeit dokumentieren — wie lange dauert ein vollständiger Restore? Passt das zu eurem RTO (Recovery Time Objective)?

Der entscheidende Gedanke: Viele Unternehmen merken erst im Ernstfall, dass ihre Backups zwar angelegt wurden, aber nicht wiederherstellbar sind — sei es durch Dateikorruption, fehlende Berechtigungen oder schlicht eine veraltete Konfiguration.

Die Regel im Überblick

ZifferWas sie bedeutetSchützt gegen
3Drei DatenkopienEinzelne Ausfälle
2Zwei MedientypenMedienspezifische Fehler
1Eine Offsite-KopieStandortkatastrophen (Brand, Flut)
1Eine Offline/Immutable-KopieRansomware, Insiderangriffe
0Null WiederherstellungsfehlerFalsche Sicherheit durch ungetestete Backups

Praxisbeispiel: So sieht 3-2-1-1-0 in der Praxis aus

Ein typisches Setup für ein KMU oder ein mittelständisches Unternehmen könnte so aussehen:

Kopie 1 (primär): Produktionsdaten auf dem Primär-Server (lokaler Storage)

Kopie 2 (lokales Backup): Dedizierte Backup-Lösung auf einem separaten System im selben Rechenzentrum — tägliche inkrementelle Backups mit Deduplizierung und Checksummen-Verifikation

Kopie 3 (Offsite + Immutable): Replikation auf einen S3-kompatiblen Cloud-Storage mit aktiviertem Object Lock — diese Kopie ist für den definierten Retention-Zeitraum unveränderlich

Air-Gap-Ergänzung (für höchste Sicherheitsanforderungen): Monatliche Sicherung auf Tape oder externe Festplatte, die physisch ausgelagert wird

Die „0″ umsetzen: Automatisierte Verifikationsjobs nach jedem Backup-Lauf, quartalsweise manueller Restore-Test einer repräsentativen Datenmenge, Dokumentation der gemessenen Wiederherstellungszeit

Wann reicht die 3-2-1-1-0-Regel nicht mehr?

Für besonders kritische Umgebungen oder regulierte Branchen gibt es weitergehende Anforderungen. Das BSI IT-Grundschutz-Kompendium (Baustein CON.3: Datensicherungskonzept) und die NIS2-Richtlinie stellen klare Anforderungen an Backup-Strategien in Unternehmen:

  • Verschlüsselung aller Backup-Daten (at rest und in transit)
  • Strikte Netzwerktrennung zwischen Backup- und Produktionsnetz
  • Snapshots gelten nicht als Backup-Ersatz — das hält das BSI explizit fest
  • Dokumentierte Recovery-Tests als Nachweis für Audits und Zertifizierungen

Für KRITIS-Betreiber und NIS2-pflichtige Unternehmen ist die 3-2-1-1-0-Regel ein guter Ausgangspunkt — aber keine vollständige Compliance-Lösung. Hier empfiehlt sich ein dediziertes Datensicherungskonzept nach BSI-Vorgaben.

Fazit: Die 0 ist die wichtigste Ziffer

Die Erweiterung von 3-2-1 auf 3-2-1-1-0 klingt auf den ersten Blick nach einem kleinen Update — in der Praxis ist sie ein Paradigmenwechsel. Die zusätzliche „1″ (Offline/Immutable) schließt die größte Lücke gegen moderne Ransomware. Und die „0″ stellt sicher, dass alle anderen Maßnahmen nicht nur auf dem Papier existieren.

Die unbequeme Wahrheit: Viele Unternehmen haben Backups. Die wenigsten haben getestete, wiederherstellbare Backups mit einer Offline-Kopie. Genau da trennt sich im Ernstfall die Spreu vom Weizen.

RonnyW

, , , , , , , , , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert